Microsoft ha accettato di versare 20 milioni di dollari alle autorità statunitensi per aver infranto il Children’s Online Privacy Protection Act (COPPA). La violazione ha riguardato la raccolta e la conservazione di informazioni personali da parte del colosso informatico relative a bambini che hanno creato un account Xbox senza prima ottenere il consenso dei genitori.
Misure di protezione della privacy
Come parte dell’accordo con la Federal Trade Commission (FTC), Microsoft si è impegnata a implementare misure per migliorare la protezione della privacy per i bambini che utilizzano la piattaforma Xbox. Tra queste, l’introduzione di un nuovo processo di creazione dell’account e la risoluzione di un problema che permetteva la conservazione dei dati più a lungo del necessario.
Samuel Levine, direttore del Bureau of Consumer Protection della FTC, ha dichiarato che le misure proposte rendono più semplice per i genitori proteggere la privacy dei propri figli su Xbox, limitando anche le informazioni che Microsoft può raccogliere e mantenere riguardo ai minorenni. Levine ha sottolineato che l’azione intrapresa chiarisce che gli avatar dei bambini, i dati biometrici e le informazioni sulla salute non sono esenti da COPPA.
Creazione dell’account e raccolta dati
Per accedere e giocare su una console Xbox o utilizzare altre funzionalità di Xbox Live, gli utenti devono prima creare un account. Questa operazione richiede l’inserimento di informazioni personali come nome e cognome, indirizzo email e data di nascita. Fino alla fine del 2021, anche se un utente dichiarava di avere meno di 13 anni, era comunque richiesto di fornire un numero di telefono e di accettare i termini e le condizioni di Microsoft, che fino al 2019 includevano una casella pre-selezionata per consentire all’azienda di inviare messaggi promozionali e condividere i dati con inserzionisti.
Solo dopo aver fornito queste informazioni, Microsoft richiedeva agli utenti minorenni di chiedere a un genitore di completare il processo di creazione dell’account. La FTC ha affermato che dal 2015 al 2020, Microsoft ha conservato i dati raccolti dai bambini durante la creazione dell’account, talvolta per anni, anche quando un genitore non completava il processo. COPPA vieta di mantenere informazioni personali sui minori per un periodo di tempo superiore a quello ragionevolmente necessario per il motivo per cui sono state raccolte.
Impegno per la sicurezza
In risposta a questa situazione, Dave McCarthy, CVP di Xbox Player Services, ha dichiarato in un post online che, sfortunatamente, l’azienda non ha soddisfatto le aspettative dei clienti e si impegna a rispettare l’ordine per continuare a migliorare le proprie misure di sicurezza. Ha aggiunto che Microsoft crede di poter e dover fare di più, rimanendo ferma nel suo impegno per la sicurezza, la privacy e la protezione della comunità.
L’accordo di Microsoft arriva dopo un’altra situazione simile che ha coinvolto Epic Games, che alla fine dello scorso anno ha pagato 275 milioni di dollari per violazioni di COPPA. Inoltre, si verifica pochi giorni dopo che Amazon ha accettato di versare 25 milioni di dollari alla FTC per presunti abusi dei diritti di privacy dei bambini, mantenendo registrazioni delle interazioni vocali con Alexa per anni, insieme alla cronologia delle posizioni.
